Stuxnet(スタックスネット)の“実績”を再評価~高まるインフラ・制御システムのリスク~

 2020.10.21  EDR実践ポータル

標的型攻撃やランサムウェアなど、サイバー攻撃はますます巧妙化・複雑化していますが、国家間のサイバー戦争の幕開けとも呼ばれる「スタクスネット(Stuxnet)」をご存知でしょうか?

2010年9月にイランの核施設を狙い撃ちにしたスタックスネット攻撃が実施されたことからサイバー環境上でも戦争の脅威がわかる事例となりました。今回は、このスタックスネットについてご紹介します。

Stuxnet(スタックスネット)の“実績”を再評価~高まるインフラ・制御システムのリスク~

制御系システムへの攻撃が急増

米国のサイバーセキュリティ機関CISA(サイバーセキュリティ・インフラストラクチャセキュリティ庁)から2020年2月、天然ガス圧縮施設がランサムウェアによる攻撃を受け、2日間にわたって運用が停止したとの発表がありました。CISAは関連する事業者に対し、対策を徹底するように通達を出しています。

国内ではあまり大きなニュースにはなりませんでしたが、社会インフラや大規模な製造・制御系システムに関わる技術者、セキュリティ関係者は深刻な事件として受け止めています。

サイバー攻撃の標的は、情報系だけではなく、一般企業の生産管理・制御系のシステムにも及んでいます。被害が目立ちはじめたのは2010年代の中頃ですが、IBMが2020年に発表したセキュリティ動向レポートによると、特に近年は急増しており、2019年に起きた制御系システムへの攻撃は、過去3年間の観測総数を上回っていました。

国内でもIPA(情報処理推進機構)などが数年前から注意勧告を出し、2018年には「制御システム セーフティ・セキュリティ要件検討ガイド」を公開しています。こうした状況下で、セキュリティ関係者の間で話題に上る機会が増えてきたのが「Stuxnet(スタックスネット)」です。

脅威ハンティングの最前線 2019年版
ENDPOINT DETECTION AND RESPONSE

大きな禍根を残したStuxnet

Stuxnetは、イランの核施設に攻撃を仕掛け、約8,400台の遠心分離機の稼動を止めたマルウェアです。最初に発見されたのは2010年。それまでのサイバー犯罪の多くは、企業が持つ機密情報の搾取を狙うものでしたが、Stuxnetは物理的な装置に損害を与えたこと、そして国家間のサイバー戦争と言われるほど大規模な攻撃だったという点で、大きな禍根と教訓を残した事件でした。攻撃の実態とマルウェアとしての特徴を簡単に振り返ってみます。

物理的な破壊につながったサイバー攻撃

Stuxnetの特徴は、まず遠心分離機を物理的に破壊した点です。遠心分離機は、高速で回転させて低濃縮のウランを生成する装置ですが、Stuxnetはシステムを制御するSCADA(産業監視制御システム)とPLC(機械制御装置)に侵入。PLCを乗っ取ったStuxnetは、回転数の急速な上下を繰り返してアルミニウムの筐体を膨張させ、破壊に成功したのです。

遠心分離機の動作に異常が起きれば、管理室のモニターにアラートが上がるはずです。しかし、Stuxnetは計器のディスプレイには平常の値を示すような信号を送り続け、アルミニウムチューブの破壊が進むまで察知させない仕組みが組み込んでありました。

クローズドのシステムに侵入

Stuxnetが注視されたもう一つの理由は、クローズドのシステムへの侵入です。それまでは、インターネットから分離された制御系のシステムは安全と考えられていました。Stuxnetの侵入経路の一つはUSBメモリで、Windows PCを介して核施設のネットワークに侵入し、PLCの制御プログラムを書き換えたとされています。

制御システムへの攻撃が増えたいまは警戒心が高まっていますが、リムーバブルメディアやWindows OSというありふれた環境を足場に、わずかな接点を探し出して制御システムに入り込む手口は、“クローズドは安全”という認識を覆しました。

図1-2

図2-2

Stuxnetの攻撃シナリオ。情報ネットワークを足場に制御システムに侵入

出典:日本シーサート協会

ターゲットを特定

Stuxnetの標的は、ドイツ・シーメンス社のSCADA(産業監視制御システム)とPLC(機械制御装置)で構成し、Windows OSが動作する環境で、これ以外では行動を起こしません。攻撃者はイランの核施設のシステムを調べ上げ、ターゲットを絞ってプログラムを生成したはずです。マルウェア本体は他所にも拡散しましたが、企業の情報系システムや個人のPCなどに目立った被害は報告されませんでした。

高度な攻撃力

Stuxnetの侵入経路の一つはWindows OSの脆弱性でしたが、セキュリティパッチが提供されていないものを含め、複数の脆弱性を狙ってきました。一つの不正プログラムが複数の脆弱性を突いた例は、それまではあまり例がなかったとされています。

制御系システムは、Windowsベースの情報系とは技術体系が異なり、攻撃側も防御側も通じている情報系で常用されるプログラミング言語はあまり使われません。Stuxnetの開発チームには、SCADAとPLC、そしてシーメンス社の仕様に特化したコードを作り込む技術力が備わっていました。

攻撃者の顔は見えたか?

Stuxnetによる攻撃には、アメリカとイスラエルが関与したとする見方があます。もちろん、両国は否定していますが、背景と攻撃の経緯を見ると単なる推測とも思えません。

まず攻撃の目的ですが、イランの国策である核開発の妨害であることは自明で、結果的にイランの原子力政策は何年かの遅れを生じました。当時から、イランの核爆弾の開発にもつながる核施設の稼動を警戒していた勢力は、アメリカとイスラエルです。

各国のセキュリティ専門家からは、米国の国家安全保障局(NSA)とイスラエル軍が関与したサイバー兵器との見方が出ており、元NSA職員のエドワード・スノーデン氏は、ドイツのメディアに対して、イランの核施設にサイバー攻撃が行なわれたことは事実と語っています。

実際のところは、中東情勢の分析と一部の関係者の証言を事由としているだけで、攻撃者を特定できたわけではありません。しかし、その調査能力、完成度が高い攻撃手法、攻撃のスケールと持続性を加味すると、相応の規模のプロジェクトだったことは確かです。

そもそも、強固なガードで守られている核施設の遠心分離機を止めるようなミッションは、そう簡単に完遂できることではありません。強大な力の配下にあって、投入する時間と予算に糸目をつけなくてもいい組織、複数の専門家が関与していたことは間違いないでしょう。

Stuxnetを起点に防御の意識も変化

Stuxnetの事件から学ぶべき点を、日本の産業と企業に当てはめて考えてみましょう。

あらためてその影響を整理すると、Stuxnetの出現は、以下の点でセキュリティ対策の意識を変えさせたと言えます。

  • 社会インフラへのサイバー攻撃が実在
  • 強大な権力が関与するサイバー攻撃の実在
  • クローズド環境への侵入も可能

もっとも大きな衝撃は、社会インフラへのサイバー攻撃が可能という点でした。

核施設のような厳しい管理下にある環境にも、Stuxnetは侵入しています。もし万一、Stuxnetと同レベルの攻撃の標的になれば、日本のインフラも防御は困難と考えていいでしょう。

発電所の制御システム、空路の官制システム、全銀ネットなどの金融インフラ、警察や自治体の緊急通報システムなど、国内にも多くの重要インフラが稼動しています。インフラへの攻撃が発生した場合、ラインに直結したネットワークやデバイスの扱いがないとしても、一般企業もまったく無縁とは言えません。

Stuxnetの攻撃の起点は、重化学工業分野のシステムメーカーなど、クローズドの核施設とは直接のつながりがない組織(5個所への攻撃が判明)で、ここからシーメンス製のPLCが動作する環境を辿っていきました。

クラウドとモバイルデバイスの活用、IoTも進展した現在は、10年前に比べるとネットワーク環境が大きく変化しています。社会インフラとの直接のつながりはないとしても、何らかの接点が生じている事業者は多いのではないでしょうか。

制御系システムの見直しは急務

具体的な実行計画まで落とすと、Stuxnetの痕跡は、生産管理・制御系ネットワークの安全性の見直しに生かすことができそうです。

安定稼動を優先する制御系のシステムは独自仕様で構築することが多く、以前は情報系のネットワークと接続されることは少なかったのですが、現在はERP(基幹系業務システム)やデータベースなどの業務アプリの導入も進み、データ連携するケースが増えています。そして2010年代の中期からはIoTも加速。製造現場の防犯、設備管理システム、各種センサーなども、企業ネットワークのコンポーネントとして取り込まれていきました。

ネットワークの拡張は、攻撃者にとっては“隙”の生成にもつながります。制御系システムはインターネットとの接続はないとしても、機器のメンテナンスのため保守ベンダーとつながっているケースはよくあります。米国で2013年に発生した小売事業者から最大4,000万件のクレジットカード情報が流出した事件の発端は、空調機器メーカーのアカウント情報の漏えいでした。

攻撃集団の分派にも留意

Stuxnetのような社会インフラを狙った大規模な攻撃は、頻出するわけではありません。しかし、攻撃者の“分派”や“残党”の存在には留意すべきでしょう。犯罪集団が分裂、あるいはノウハウを会得した構成員が卒業し、自らの行動範囲で標的を探すことはよくある話です。サイバー犯罪も例外ではないでしょう。ここ2~3年の制御系システムへの攻撃の増加はその一端かもしれません。

Stuxnetを契機として、インフラの制御システム、制御系ネットワークが攻撃対象になり得ることは知れ渡りました。この領域のシステムと接点を持つ事業者のみなさまは、サイバー犯罪に対するアンテナの感度をさらに研くと同時に、“クローズドも安全ではない”の視点から、自社のセキュリティ対策を再点検しておくことをお勧めします。

テレワークのエンドポイント保護

RECENT POST「セキュリティ全般」の最新記事


Stuxnet(スタックスネット)の“実績”を再評価~高まるインフラ・制御システムのリスク~
2019モバイルを狙う脅威に関するレポート LANDSCAPE REPORT

RANKING人気資料ランキング

RECENT POST 最新記事

ブログ無料購読

RANKING人気記事ランキング